Hoi Liste ! Habe folgendes Problem - ich will mir einen Gateway fürs Heimnetzwerk zusammenbasteln . Das gerät soll sich über ISDN zu einem Provider (dyn. IP) einwählen und den INetzugang (http / https / POP3 / SMTP / FTP)für 2-5 andere Rechner ermöglichen . Auf dem Gateway ist Squid installiert . Die Einwahl (mit dem Gateway) klappt , und ich kann von allen angeschlossenen Clients surfen (http) mit Netscape , Konqueror u.s.w. FTP Downloads klappen auch (jedenfalls mit Netscape) . Aber - ich bekomme von keinem Client einen https - connect hin oder kann Mail abrufen / senden . Ping geht auch nicht (kann ich echt mit leben ...) Auf dem Gateway ist kein Masquerading aktiviert . Auf dem Gateway kann ich mit fetchmail die Mails herunterladen von den jeweiligen Mailkonten . Jetzt die Frage : Wie kann ich a) die heruntergeladenen EMails vom Gateway an die entsprechenden Empfänger verteilen und ebenso neue Mails versenden oder b) direkt den Programmen auf den Clients Mailempfang / versand ermöglichen (wäre mir persönlich am liebsten) . Wie kann ich ausserdem einen https-connect für die Clients ermöglichen ? Bin in diesen Sachen echter Linux-Newbie ..... man dankt Carsten -- personal Mail bitte an : carsten-becher@cbecher.de
Hallo, schau Dir doch mal meine auf iptables basierende Firewall an, da kannst Du genau definieren, welcher Client welche Dienste benutzen darf. Downloadbar unter www.wolfgarten.com! Gruß Sebastian
Hoi ! Tja , irgendwie will die bei mir nicht . Schade , sieht recht passend aus . Kernel : 2.2.13 iptables : 1.2.1.a -37 Meldung beim Systemstart : modprobe : can`t locate module ip_tables iptables 1.2.1a : can`t initialize iptables table "nat" iptables who ? cu Carsten Sebastian Wolfgarten wrote:
Hallo,
schau Dir doch mal meine auf iptables basierende Firewall an, da kannst Du genau definieren, welcher Client welche Dienste benutzen darf. Downloadbar unter www.wolfgarten.com!
Gruß Sebastian
-- personal Mail bitte an : carsten-becher@cbecher.de
Hi, On 3 Mar 2002 at 16:34, Carsten Becher wrote:
Kernel : 2.2.13 iptables : 1.2.1.a -37
Meldung beim Systemstart : modprobe : can`t locate module ip_tables iptables 1.2.1a : can`t initialize iptables table "nat" iptables who
AFAIK funktioniert IP Tables nur mit Kernel 2.4.x! Bei 2.2.x verwende IP Chains. HTH Tom
* Thomas Michael Wanka
Hi,
On 3 Mar 2002 at 16:34, Carsten Becher wrote:
Kernel : 2.2.13 iptables : 1.2.1.a -37
Meldung beim Systemstart : modprobe : can`t locate module ip_tables iptables 1.2.1a : can`t initialize iptables table "nat" iptables who
AFAIK funktioniert IP Tables nur mit Kernel 2.4.x! Bei 2.2.x verwende IP Chains.
Kannst Du bitte deinen MUA beibringen, wenn sich Umlaute in der Mail befinden, als Charset iso-8859-1, oder iso-8859-15 zu verwenden und nicht us-ascii. Bruno
Carsten Becher wrote: > Hoi Liste ! > > Habe folgendes Problem - ich will mir einen Gateway fürs > Heimnetzwerk zusammenbasteln . Das gerät soll sich über ISDN zu > einem Provider (dyn. IP) einwählen und den INetzugang (http / https > / POP3 / SMTP / FTP)für 2-5 andere Rechner ermöglichen . Auf dem > Gateway ist Squid installiert . > > Aber - > ich bekomme von keinem Client einen https - connect hin oder kann > Mail abrufen / senden . Ping geht auch nicht (kann ich echt mit > leben ...) hast du im Client den Squid-Port 3128 auch fuer HTTPS eingestellt? > Auf dem Gateway ist kein Masquerading aktiviert . > Auf dem Gateway kann ich mit fetchmail die Mails herunterladen von > den jeweiligen Mailkonten . > > Jetzt die Frage : > Wie kann ich a) die heruntergeladenen EMails vom Gateway an die > entsprechenden Empfänger verteilen und ebenso neue Mails versenden > oder b) direkt den Programmen auf den Clients Mailempfang / versand > ermöglichen (wäre mir persönlich am liebsten) . Wie kann ich > ausserdem einen https-connect für die Clients ermöglichen ? > Die /root/.fetchmailrc sieht bei mir so aus: > poll post.strato.de protocol pop3 user "E-Mail-Adr" pass "???" is Benutzer here aber alles in einer Zeile. Dann kannst du fuer jede E-Mail-Adesse steuern, wer der Empfaenger ist. Den Aufruf habe ich in der /etc/ip-up.local als daemon stehen und kille ihn in der /etc/ip-down.local wieder ... Zum Abholen brauchst du noch den popper, oder einen Verwandten, sowie eine solchige Zeile in der /etc/inetd.conf: >root@server:/home/rainer > cat /etc/inetd.conf | grep pop ># pop2 stream tcp nowait root /usr/sbin/tcpd in.pop2d >pop3 stream tcp nowait root /usr/sbin/tcpd + /usr/sbin/popper -s Natuerlich ist die Zeile mit dem Plus eine Folgezeile. Dann koennen deine Benutzer ihre Mails vom Server abholen. Mailversand geht ueber sendmail, Mailempfang ueber fetchmail, am einfachsten ueber Yast zu konfigurieren ... War etwas ausfuehrlicher, aber die Frage taucht bestimmt irgend- wann bei einem Anderen wieder auf. Vielleicht googlt er ja hier drueber ... Rainer
Hoi ! Rainer Lischke wrote: > > hast du im Client den Squid-Port 3128 auch fuer HTTPS eingestellt? > Yep . > > > Die /root/.fetchmailrc sieht bei mir so aus: > > poll post.strato.de protocol pop3 user "E-Mail-Adr" pass "???" is > Benutzer here dann müsste ich auf dem Gateway alle Mailadressen nochmal als Benutzer anlegen , oder ? > > aber alles in einer Zeile. Dann kannst du fuer jede E-Mail-Adesse > steuern, wer der Empfaenger ist. Den Aufruf habe ich in der > /etc/ip-up.local als daemon stehen und kille ihn in der > /etc/ip-down.local wieder ... > > Zum Abholen brauchst du noch den popper, oder einen Verwandten, > sowie eine solchige Zeile in der /etc/inetd.conf: > > >root@server:/home/rainer > cat /etc/inetd.conf | grep pop > ># pop2 stream tcp nowait root /usr/sbin/tcpd in.pop2d > >pop3 stream tcp nowait root /usr/sbin/tcpd > + /usr/sbin/popper -s > > Natuerlich ist die Zeile mit dem Plus eine Folgezeile. Dann koennen > deine Benutzer ihre Mails vom Server abholen. > > Mailversand geht ueber sendmail, Mailempfang ueber fetchmail, am > einfachsten ueber Yast zu konfigurieren ... Also , so wie ich das jetzt verstanden habe ist das alles aber was um die Post auf den Server zu bekommen , nicht um von den clients aus die Post abzurufen / zu senden , oder ? danke Carsten -- personal Mail bitte an : carsten-becher@cbecher.de
Carsten Becher schrieb am Sun, Mar 03, 2002 at 11:49:20AM +0100:
Jetzt die Frage : Wie kann ich a) die heruntergeladenen EMails vom Gateway an die entsprechenden Empfänger verteilen und ebenso neue Mails versenden
Hierzu müßtest Du auf dem Server sendmail (oder einen anderen MTA wie postfix, qmail etc) einrichten. Zusätzlich ist noch ein POP- oder IMAP-Server erforderlich. Am einfachsten ist IMHO der qpopper (AFAIK Paket pop, Serie n) in Betrieb zu nehmen: Er benötigt lediglich einen laufenden inetd. Dann können Deine Clients ihre eMails von Deinem Server abrufen und ihre ausgehende Korrespondenz Deinem sendmail übergeben.
oder b) direkt den Programmen auf den Clients Mailempfang / versand ermöglichen (wäre mir persönlich am liebsten) .
Dazu müßtest Du lediglich das Masquerading einschalten. Das müßte IMHO auch für bestimmte Ports funktionieren.
Wie kann ich ausserdem einen https-connect für die Clients ermöglichen ?
Wohin sollen sie sich connecten? Auf Deinen Server oder auf andere Server im Netz? Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
Hoi ! Christian Schmidt wrote:
Dazu müßtest Du lediglich das Masquerading einschalten. Das müßte IMHO auch für bestimmte Ports funktionieren.
Tja , würd ich ja ganz gerne . Klappt bloss nicht . Nach Anleitung vorgegangen und nix is .
Wohin sollen sie sich connecten? Auf Deinen Server oder auf andere Server im Netz?
Also dann schon eher ins Internet :-) cu Carsten -- personal Mail bitte an : carsten-becher@cbecher.de
Carsten Becher wrote:
Hoi !
Christian Schmidt wrote:
Wohin sollen sie sich connecten? Auf Deinen Server oder auf andere Server im Netz?
Also dann schon eher ins Internet :-)
Hi Carsten, wuerde ich nicht machen. Je weniger Kontakt deine Rechner direkt zur Aussenwelt haben, umso sicherer wird die ganze Sache. Wenn du das einmal eingerichtet hast funktioniert das ja, oder aendern sich da oefter die Benutzer? Dann sollte man sich etwas in Richtung Webmin oder so ueberlegen um bequemer administrieren zu koennen. Ich lasse hier keinen Kontakt von meinen Client-Rechnern ins Internet, nur weil jemand seine Mails haben will. Rainer
Hoi ! Rainer Lischke wrote:
wuerde ich nicht machen. Je weniger Kontakt deine Rechner direkt zur Aussenwelt haben, umso sicherer wird die ganze Sache.
Ich brauche aber https für Onlinebanking und Amazon und so ... und das sollte dann doch eher von den clients aus gemacht werden , nicht vom Gatewayrechner ?
Wenn du das einmal eingerichtet hast funktioniert das ja, oder
Wenn`s funktionieren würde wäre ich Lichtjahre weiter als jetzt ....
Ich lasse hier keinen Kontakt von meinen Client-Rechnern ins Internet, nur weil jemand seine Mails haben will.
Ähm ... das ist mein Wohnzimmernetzwerk . Die interne Sicherheit ist da ganz o.k. , denke ich :-) . Wenn es eine andere Möglichkeit gibt wie ich von den clients aus Email lesen/schreiben kann wäre es mir auch recht . danke Carsten -- personal Mail bitte an : carsten-becher@cbecher.de P.S. nein ... ich bin nicht als root online ;-)
Carsten Becher wrote:
Hoi !
Hi zurueck,
Rainer Lischke wrote:
wuerde ich nicht machen. Je weniger Kontakt deine Rechner direkt zur Aussenwelt haben, umso sicherer wird die ganze Sache.
Ich brauche aber https für Onlinebanking und Amazon und so ... und das sollte dann doch eher von den clients aus gemacht werden , nicht vom Gatewayrechner ?
Der Satz bezog sich auch ausschliesslich auf die Mail-Klamotte, die hatte ich schon grob um 15:26 dargestellt, andere Zeitgenossen uebrigens auch. Alle Mails zusammen sollte dir schon weiterhelfen.
Ich lasse hier keinen Kontakt von meinen Client-Rechnern ins Internet, nur weil jemand seine Mails haben will.
Ähm ... das ist mein Wohnzimmernetzwerk . Die interne Sicherheit ist da ganz o.k. , denke ich :-) . Wenn es eine andere Möglichkeit gibt wie ich von den clients aus Email lesen/schreiben kann wäre es mir auch recht .
Mein Netzwerk geht auch nur Familienintern, trotzdem passe ich da etwas auf. Alles was meine Wxx-Kisten vom Internet trennt bewahrt mich irgendwo vor Aerger, davon bin ich ueberzeugt. Als naechstes gehoert eine ordentliche Packet-Firewall auf den Server, heisst keine ankommenden Pakete (also die, die eine Verbindung aufbauen wollen) durchlassen, nur die Ports weiter- lassen, die benoetigt werden (auf beiden Netzwerk-Seiten), dann sollte so schnell nichts passieren koennen. Klingt etwas paranoid, schadet aber nicht. Wenn dein System von irgendeinem Mist befallen ist (und Linux wird allmaehlich auch interessant fuer diese Spezies Programmierer) ist der Aerger groesser. Und wenn du Bankgeschaefte ueber dieses Netz abwickelst willst du doch bestimmt nicht, dass irgendein (ausversehen einge- schleppter) Trojaner durch masquerading und offene Ports durch den Server kommt und dann DOCH auf alle deine daten kommt, oder? Sorry, ist etwas laenger geworden, aber beim Thema Sicherheit gehen mir die Pferde durch ;-) Rainer
hoi nochmal :-) Rainer Lischke wrote:
Der Satz bezog sich auch ausschliesslich auf die Mail-Klamotte, die hatte ich schon grob um 15:26 dargestellt, andere Zeitgenossen uebrigens auch. Alle Mails zusammen sollte dir schon weiterhelfen.
Ja , so etwa in einer Woche wenn ichs kapiert habe :-) Bin wie gesagt Im Gateway-Setup echter Anfänger , da dauerts ein wenig länger . Habe ausserdem das Problem das ich mit ner alten 6.3 das ganze durchziehe weil wegen die 7.2 die ich noch habe startet auf dem auserkorenen Rechner (definitiv) nicht .
Mein Netzwerk geht auch nur Familienintern, trotzdem passe ich da etwas auf. Alles was meine Wxx-Kisten vom Internet trennt bewahrt mich irgendwo vor Aerger, davon bin ich ueberzeugt.
Als naechstes gehoert eine ordentliche Packet-Firewall auf den Server, heisst keine ankommenden Pakete (also die, die eine Verbindung aufbauen wollen) durchlassen, nur die Ports weiter- lassen, die benoetigt werden (auf beiden Netzwerk-Seiten), dann sollte so schnell nichts passieren koennen.
Habe ich auch vor , will es nur erstmal überhaupt am laufen haben , sonst schaffts nix .
Und wenn du Bankgeschaefte ueber dieses Netz abwickelst willst du doch bestimmt nicht, dass irgendein (ausversehen einge- schleppter) Trojaner durch masquerading und offene Ports durch den Server kommt und dann DOCH auf alle deine daten kommt, oder?
Sorry, ist etwas laenger geworden, aber beim Thema Sicherheit gehen mir die Pferde durch ;-)
Rainer
:-) Sagen wir mal so ... ich bin nicht auf Linux umgeschwenkt um mein System im Eiltempo ebenso so durchlöchern wie es das Produkt aus Redmond von Haus aus ist . cu Carsten -- personal Mail bitte an : carsten-becher@cbecher.de P.S. nein ... ich bin nicht als root online ;-)
participants (6)
-
bsemrau@t-online.de
-
Carsten Becher
-
Christian Schmidt
-
Rainer Lischke
-
Sebastian Wolfgarten
-
Thomas Michael Wanka